最近，东亚市场的各个部门都受到了新的电子邮件钓鱼活动的影响，该恶意活动分发了一种以前没有出现过的Android恶意软件，名为FluHorse，基于Flutter软件开发框架。 Check Point在一份技术报告中说：该恶意软件模仿合法的安卓应用程序，其中大多数有超过100万的安装量。通过这些恶意应用程序窃取受害者的凭证和双因素认证（2FA）代码。 目前已发现该恶意软件模仿ETC和VPBank Neo等应用程序，这些应用程序多在越南等地区使用。根据目前收集到的证据显示，该恶意活动从2022年5月开始活跃。 网络钓鱼活动本身是相当无脑的，受害者被诱骗点击的邮件中包含一个假网站的链接，该网站承载着恶意的APK文件。当然，该网站还添加了一些检查，旨在筛选受害者，只有当他们的浏览器User-Agent字符串与安卓系统匹配时，才会提供该应用程序。 一旦安装，该恶意软件要求获得短信权限，并提示用户输入他们的凭证和银行卡信息，所有这些信息随后都被渗入到后台的一个远程服务器，同时要求受害者等待几分钟。 攻击者还滥用他们对短信的访问权，拦截所有传入的2FA代码，并将它们重定向到命令和控制服务器。 值得一提的是这些恶意功能是用Flutter实现的，Flutter是一个开源的UI软件开发工具包，可用于从单一代码库开发跨平台的应用程序。 众所周知，攻击者掌握各种技巧，如逃避检测技术、混淆和执行前的长时间延迟来抵制分析和绕过虚拟环境，但使用Flutter并不常见。这也标志着一种新的攻击手段。 最后，研究人员总结说：恶意软件开发者并没有在编程上投入太多精力，而是依靠Flutter作为开发平台。这种方法使他们能够创建危险的、未被发现的恶意应用程序。使用Flutter的好处之一是，它难以分析的性质使许多安全解决方案变得毫无价值。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/365691.html 封面来源于网络，如有侵权请联系删除

据CBS报道，美国德克萨斯州达拉斯市本周三遭受了勒索软件攻击，导致其多项市政服务中断。 “周三早上，该市的安全监控工具向安全运营中心 (SOC)发出勒索软件攻击的告警。”该市的公开声明透露。 “目前达拉斯市已确认许多服务器已被勒索软件破坏，影响了几个功能区域，包括达拉斯警察局网站。安全团队及其供应商正在积极努力隔离勒索软件以防止其传播，从受感染的服务器中删除勒索软件，并恢复当前受影响的所有服务。根据达拉斯市的事件响应计划(IRP)，该市市长和市议会已获悉该事件。” CBS Texas还发布了一张勒索软件的通知截图（下图），据报道，该图是通过达拉斯市的网络打印机发送的。 根据勒索通知内容，勒索软件组织Royal似乎对此次攻击负责。 Royal是一种复杂的、不断发展的勒索软件，于2022年初首次被发现。使用Royal的勒索软件组织主要针对大型企业。 BlackBerry 研究人员指出：“与常见的勒索软件即服务（RaaS）不同，Royal不出售其软件，而是直接从初始访问代理 (IAB)那里购买目标公司的网络访问权限，并在公司网络内部实施攻击活动。此外，Royal还因采用双重勒索策略而闻名。” 目前尚不清楚攻击者如何获取了达拉斯市政系统的访问权限。赎金通知表明他们已经对数据进行了加密，并计划在线泄露敏感信息。 攻击导致部分市政服务中断 勒索软件攻击发生后，达拉斯市警察局和市政厅网站已下线，以防止恶意软件进一步传播。 与此同时，达拉斯市的信息和技术服务部门(ITS)正在努力查明中断的原因并关闭所有受影响的设备。 达拉斯市的公开声明补充说： “目前，该市数千台设备中只有不到200台受到影响，但如果任何城市设备存在风险，ITS将对其进行隔离和阻止。恢复工作将优先考虑公共安全服务，面向公众的服务，然后是其他部门”。 目前，达拉斯市警察局和消防局的所有服务、911和311电话仍然有效。 达拉斯市自来水公司的付款仍可通过IVR系统处理，但在线付款可能会遇到一些延迟。另外，达拉斯市法院预计将于周五休庭。 Emsisoft威胁分析师Brett Callow指出，勒索软件对美国地方政府的攻击已经非常普遍，平均每周都会发生一起类似攻击。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/OpF6ddAGsFhg3n0IDhtnGA 封面来源于网络，如有侵权请联系删除

尽管网络安全专家努力防止此类事件发生，但针对公司和政府机构的勒索软件攻击仍在增加。自这一流行病开始以来，已有数百家美国企业报告成为勒索软件的受害者，其中已知的最大攻击是2021年的Kaseya黑客攻击事件。 最近，美国政府也面临着一连串的网络安全事件，联邦调查局、国防部和美国法警署（USMS）都确认今年发生了多起数据泄露和有针对性的攻击。就在上周，USMS宣布网络犯罪分子针对其系统进行了勒索软件攻击，暴露了大量的数据，包括员工的个人身份信息（PII）。值得庆幸的是，该事件没有暴露证人保护计划数据库，这意味着没有证人处于危险之中。 该事件发生在2月17日，但即使在10周后，尽管官员们努力使系统恢复运行，但该系统仍未完全运行。受影响的网络由法警的技术操作组（TOG）操作，通过电话、电子邮件和互联网的使用来追踪嫌疑人，但由于该系统仍然无法使用，该机构不得不设计”其他方法”来追踪嫌疑人。 据《华盛顿邮报》报道，该系统瘫痪了这么久，是因为美国司法部决定不支付任何赎金来解锁网络。相反，官员们采取了关闭整个系统的行动，包括远程擦除在该部门工作的所有员工的手机。这一突如其来的举措，在没有任何事先警告的情况下实施，清除了他们所有的文件、联系人和电子邮件，给许多雇员带来了不便。 然而，尽管有明显的路障，美国法警署仍然坚称，技术性停工并没有影响其进行调查的能力。在本周的一份声明中，法警发言人德鲁-韦德说，大多数关键的调查工具已经恢复，该机构正计划很快部署”一个完全重建的系统，并改进IT安全对策”，以备将来使用。 正如报告所指出的，法警的技术行动组多年来在追踪许多臭名昭著的嫌疑人方面功不可没，其中最突出的是臭名昭著的墨西哥大毒枭华金-查普-古斯曼，他于2014年在墨西哥城被捕。TOG以其复杂的追踪技术而闻名，据说它收集的手机追踪数据比联邦调查局和毒品管制局的总和还要多，最佳战绩是10周内平均有1000人被捕。 自勒索袭击发生以来，法警特遣部队继续进行逮捕，但该机构希望尽早启动并运行完整的计算机系统，以避免对其调查产生长期影响。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7228584381558981124/ 封面来源于网络，如有侵权请联系删除

随着公众对生成性人工智能聊天机器人的兴趣越来越大，黑客们越来越多地使用ChatGPT主题的诱饵，在Facebook、Instagram和WhatsApp上传播恶意软件。这是Facebook的母公司Meta的说法，该公司在周三发布的一份报告中说，冒充ChatGPT的恶意软件在其平台上呈上升趋势。 该公司表示，自2023年3月以来，其安全团队已经发现了10个恶意软件家族使用ChatGPT（和类似主题）向用户的设备提供恶意软件。 “在一个案例中，我们看到威胁者创建了官方网店中的恶意浏览器扩展，声称提供基于ChatGPT的工具，”Meta安全工程师Duc H. Nguyen和Ryan Victory在一篇博文中说。”然后他们会在社交媒体上推广这些恶意扩展，并通过赞助的搜索结果来诱使人们下载恶意软件。” Meta公司说，传播Ducktail恶意软件的攻击者越来越多地转向这些以人工智能为主题的诱饵，试图损害能够访问Facebook广告账户的企业。自2021年以来，Ducktail以Facebook用户为目标，窃取浏览器cookie并劫持登录的Facebook会话，从受害者的Facebook账户中窃取信息，包括账户信息、位置数据和双因素认证代码。该恶意软件还允许威胁行为者劫持受害者可以访问的任何Facebook商业账户。 Meta公司周三将Ducktail的传播归咎于来自越南的威胁者，并补充说它已经向该行动背后的个人发出了停止令，并通知了执法部门。 一张截图显示，链接到网站托管平台的恶意软件活动开始针对较小的服务，如给我买杯咖啡–创作者用来接受其受众支持的服务–来托管和提供恶意软件。 Meta公司说，它阻止了指向以ChatGPT为主题的假网页的恶意链接，这些网页承载和传递恶意软件 这家社交媒体巨头还指出，它在1月份发现了一款名为Nodestealer的新恶意软件。与Ducktail非常相似，该恶意软件以基于Windows的浏览器为目标，最终目的是窃取cookie和保存的登录信息，以损害Facebook、Gmail和微软Outlook账户。Meta公司说，它对这一恶意软件采取了早期行动，同样还将其归咎于越南威胁者。Meta公司说，它在发现该恶意软件的两周内就向域名注册商和托管服务商提交了删除请求，这些服务商是恶意软件的目标，以促进其传播。 “这些行动导致了对该恶意软件的成功破坏。”Nguyen和Victory说：”自今年2月27日以来，我们没有观察到NodeStealer系列恶意软件的任何新样本，并继续监测任何潜在的未来活动。” Meta公司表示，它还增加了新的功能，以帮助其产品的企业用户更好地抵御恶意软件攻击。这包括一个新的支持工具，指导人们逐步识别和删除恶意软件，以及对企业账户的新控制，以管理、审计和限制谁能成为账户管理员。Meta公司还宣布将在今年晚些时候推出Facebook at Work账户。这些账户将允许企业用户在不需要个人账户的情况下登录和操作业务管理器，帮助防止从个人账户被泄露开始的攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7228983702586573370/ 封面来源于网络，如有侵权请联系删除

谷歌表示 2022 年期间，为阻止恶意软件传播以及欺诈团伙使用恶意应用程序感染安卓用户的设备，一共封禁了 17.3 万个开发者账户。值得一的是，谷歌对应用程序的审核也变得更加严谨，其发布的“不良应用”年度报告显示，阻止了约 150 万个违法政策的应用程序进入 Google Play 商店。 除了上述举措外，Google Play 的安全团队还阻止了可能导致超过 20 亿美元损失的欺诈和滥用交易。 谷歌加强开发者安全性审查 近些年，谷歌对于安全开发者的安全性审查投入了很多资源，目前，想要加入 Play Store 生态系统的开发者都需要接受大量审查，例如电话和电子邮件身份验证等，此举有助于传播违反谷歌播放政策的应用程序的账户数量大大下降。 不仅如此，谷歌还与软件开发工具包（SDK）供应商开展合作，限制对敏感数据的访问和分享，以确保安卓官方商店 100 多万个应用程序拥有更好的“隐私状态”。 Google Play 2022年 “不良应用 ”报告（来源：谷歌） 总的来说，谷歌在过去三年一直持续加强安卓平台隐私保护，这些措施也起到了很好的作用，阻止大约 50 万个提交到谷歌 Play 商店的应用程序请求和访问敏感权限。 2021 年，谷歌封禁约 19 万个恶意开发者帐户 2021 年，谷歌对恶意程序以及开发者的审查已经在逐渐收紧，全年共阻止了 120 万个违反政策的应用程序，禁止了 19 万个与恶意和垃圾邮件开发者有关的账户，关闭了约 50 万个不活跃或被放弃的开发者账户。 2022 年，Google Play 进行更新，增加了数据安全部分，详细规定了应用程序应该如何收集、共享和保护用户数据。 最后，谷歌指出随着安卓生态系统的扩展，必须与开发者社区密切合作，确保其拥有安全工具、知识和最大支持，以构建尊重用户数据安全、隐私安全的可靠应用程序，后续将继续与 SDK 供应商密切合作，以提高应用程序和 SDK 的安全性，限制用户数据的共享方式，并改善与应用程序开发人员的沟通渠道。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365179.html 封面来源于网络，如有侵权请联系删除  

吃瓜已经成为很多互联网用户热衷的事情。当某个明星的惊天大瓜被曝出，或者哪里发生了什么重大事件，潜在的八卦猎奇心理总会驱使大众去挖掘背后更多的信息，部分用户也凭借掌握的隐私信息而感到沾沾自喜。 近段时间以来，随着明星塌房事件密集曝出，有不法分子开始利用“明星塌房”来传播病毒，利用“独家爆料”、“私密视频”、“聊天记录”等噱头来吸引用户下载运行恶意软件。 例如，国内杀毒软件厂商火绒发现，一种名为RdPack的病毒伪装成某热点明星私密聊天文件（XXXXX聊天记录曝光.exe），在微信群中大肆传播。该经安全人员分析发现，运行病毒后会释放并静默执行RdViewer远控软件，攻击者可通过RdViewer远控软件来操控受害者终端，并执行如文件窃取、监控麦克风和摄像头等恶意功能。 伪装陈明星私密聊天记录的病毒 而在不久前，该厂商还发现另一款名为DcRat的后门病毒新变种，伪装成各类吸引眼球的文件，在微信等社交平台上传播，并诱导用户打开，随后实施收集信息等恶意行为。火绒官方表示，该病毒启动后，会从CC服务器下载执行shellcode，在shellcode中会内存加载.NET后门模块来躲避杀毒软件的查杀，为了防止自身暴露，病毒还会结束安全工具和安全软件进程。 病毒伪装的文件名列表 但只要稍加甄别，就会发现，虽然病毒会伪装成.mp4、.png等多种格式，但无一例外最终的后缀名都是.exe的程序安装文件，只要对来路不明的.exe文件提高警惕，就能很大程度上避免此类病毒攻击。 虽然网络病毒通过伪装的形式进行传播早已不是新鲜事，从伪装成破解版软件、激活工具甚至是一些黑灰产软件，到借助各类热点事件，包装成各类私密消息、内部视频。但在过去，病毒的传播往往需要用户主动搜索、发现，而现在，发达的社交媒体无意间成为病毒传播的放大器，用户随时可能被动接收到大量暗藏病毒的有害信息，让人防不胜防。 可见，社交媒体仍需要进一步强化责任担当，利用技术手段对有害内容进行阻止或屏蔽，而用户也需要进一步提高网络安全意识，要相信天下终究没有免费的午餐，不要为了过分的好奇心或者贪图一时的便宜成为被宰的羔羊。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364486.html 封面来源于网络，如有侵权请联系删除  

据Dark Reading 4月21日消息，谷歌云平台 (GCP) 被曝存在一个安全漏洞，可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。 这个被称为“GhostToken”的漏洞是由 Astrix 安全研究人员发现并报告，根据该团队 4 月 20 日发布的分析，恶意程序之所以进行隐藏，是为了进一步读取受害者的 Gmail 帐户、访问 Google Drive 和 Google Photos 中的文件、查看 Google 日历以及通过谷歌地图跟踪位置，有了这些信息，攻击者就可以设计出极具迷惑性的网络钓鱼攻击。 除此之外，攻击者还可能从Google Drive 中删除文件，从受害者的 Gmail 帐户中写入电子邮件以执行社会工程攻击，从 Google Calendar、Photos 或 Docs 中敏感数据，等等。 如鬼魂般的恶意程序 谷歌云平台是谷歌所提供的一套公有云计算服务。该平台包括一系列在 Google 硬件上运行的用于计算、存储和应用程序开发的托管服务，也包括为最终用户托管各类应用程序，这些应用程序与其他应用程序生态系统一样，可通过谷歌应用市场下载。一旦用户授权下载，应用程序就会在后台收到一个令牌，根据应用程序请求的权限授予相应的Google 帐户访问权限。 但利用GhostToken 漏洞，网络攻击者可以制作一个恶意应用程序，将其植入到应用程序商店，伪装成合法的实用程序或服务。一旦用户下载并安装，便会隐藏在受害者的谷歌账户申请管理页面中，并无法从谷歌帐户中删除。此外，攻击者可以随时取消对恶意程序的隐藏状态，让其使用令牌访问受害者的帐户，然后再次隐藏并恢复成不可删除的状态。 Astrix 的研究员表示，这个特定的漏洞允许网络攻击者一方面可以访问组织的 GCP 环境，另一方面也可以访问个人 的Google Photos 和他们的电子邮件帐户，从而对企业和个人构成安全风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364315.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露以色列间谍软件公司 QuaDreamu 遇到了大麻烦，内部已经召开员工会议，宣布近期会着手关闭其业务。 追溯 QuaDream 如此着急关闭公司的原因，可能要从上周微软和非营利组织 Citizen Lab 的研究成果说起。当时，两个机构的安全研究人员发现一款名为 QuaDream 的商业间谍软件，利用一个被称为ENDOFDAYS 的零日漏洞，偷偷入侵 iPhone手 机。 据悉，ENDOFDAYS 零日漏洞存在于 iOS 14.4 和 14.4.2 版本，在 2021 年 1 月至 11 月期间，某些网络攻击者通过“不可见的 iCloud 日历邀请”利用了该漏洞。 QuaDreamu 将会关闭业务 研究人员的分析结果显示， QuaDreamu 受害者主要是位于北美、中亚、东南亚、欧洲和中东地区的记者、政治反对派人士和一名非政府组织工作人员。 据以色列报纸《Calcalist》援引不具名的消息来源称，QuaDream 通知所有员工公司将在未来几天内停止运营，并且要求员工参加听证会， 《Calcalist》报道如下： 据消息人士称，最近几个月，QuaDream 公司一直经营困难，已经有一段时间没有充分活动了，微软和 Citizen Lab 的研究结果给了它最后一击。 目前，QuaDream 办公室只剩下两名看管电脑和其它设备的员工。与此同时，董事会正试图出售公司的知识产权。 值得一提的是，以色列貌似很擅长“生产”间谍软件公司。过去几年，以色列的 NSO 和 Candiru 也多次因其制造的间谍软件被用来监视记者、异议人士和政府反对派，登上新闻头条。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364075.html 封面来源于网络，如有侵权请联系删除  

美国大型电信和IT基础设施巨头CommScope证实，在3月份遭到勒索软件攻击，该攻击导致员工数据和公司文件被泄露。 目前，Vice Society勒索团伙声称已经在该组织的暗网上公布了在此次攻击中被盗的大量CommScope员工数据。 Vice Society是一个臭名昭著的勒索软件团伙，以针对世界各地的教育机构和医疗设施而闻名。 CommScope作为一家财富500强企业，是众多网络产品、电信服务的母公司，其中就包括Arris、Surfboard、Ruckus网络和Systimax布线系统。其总部位于北卡罗来纳州，拥有超过30000名员工，以及全球50个供应链地点。 CommScope公司的一位发言人在4月18日向记者证实，该公司在上个月末遭受了勒索软件的攻击，现在正在调查这一事件。 据报道，这家全球企业集团在3月27日的那一周发现到黑客进入了其IT基础设施的一部分。 Vice Society 在攻击发生两周后的 4月15日在其暗网的主页上声称入侵了 Commscope。该组织在4月14日到4月15日还发布了超过20个链接，链接内容包含了被盗的员工数据。 尽管这家电信巨头没有直接公开表明 Vice Society 是肇事者，但CommScope表示，根据他们的调查显示，实施攻击的团体与声称拥有被盗数据的团体是同一个。 该公司发言人表示，”我们正在与我们的第三方专家合作，验证这些说法，并作为首要任务了解被泄露信息的严重性。我们正在以最快的速度对任何受影响的数据进行彻底审查”。 CommScope还表示，被盗数据包括员工证件信息、公司发票、文件和银行文件，并没有任何客户信息在攻击中被泄露，业务运营也没有中断。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364073.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基的最新发现显示，一个新的QBot恶意软件正在利用被劫持的商业电子邮件，分发恶意软件。 最开始发现该恶意活动是在2023年4月4日，主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄罗斯、法国、英国和摩洛哥的用户。 QBot（又名Qakbot或Pinkslipbot）是一个银行木马，从2007年开始活跃。除了从网络浏览器中窃取密码和cookies，它还作为后门注入有效载荷，如Cobalt Strike或勒索软件。 该恶意软件通过网络钓鱼活动传播，并不断更新，通过加入反虚拟机、反调试和反沙盒技术以逃避检测。正因为这样，它也成为2023年3月最流行的恶意软件。 卡巴斯基研究人员解释，早期，QBot的传播方式是通过受感染的网站和盗版软件传播的。现在则是通过银行木马已经驻留在其计算机上的恶意软件，社交工程和垃圾邮件传递给潜在的受害者。 电子邮件网络钓鱼攻击并不新鲜。其目的是诱使受害者打开恶意链接或恶意附件，一般情况下，这些文件被伪装成一个微软Office 365或微软Azure警报的封闭式PDF文件。 打开该文件后，就会从一个受感染的网站上检索到一个存档文件，该文件又包含了一个混淆的Windows脚本文件（.WSF）。该脚本包含一个PowerShell脚本，从远程服务器下载恶意的DLL。下载的DLL就是QBot恶意软件。 调查结果发布之际，Elastic Security Labs还发现了一个多阶段的社会工程活动，该活动使用武器化的Microsoft Word文档通过自定义方式分发Agent Tesla和XWorm。基于 NET 的加载程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363877.html 封面来源于网络，如有侵权请联系删除